die-datenschutzberater.com

Das BayLDA hat ein ADV-Muster nach den neuen Vorgaben der DSGVO bereitgestellt. Darin findet sich auch eine Regelung, die bislang wohl Verantwortlichen und Auftragsverarbeitern nicht bekannt war und in der Praxis noch kaum Beachtung gefunden hat. Danach soll im ADV eine Regelung über die Methodik zur Risikobewertung vertraglich festgelegt werden. Ist dies wirklich im ADV notwendig? Müssen möglicherweise alle für die DSGVO vorbereiten Vereinbarungen zur Auftragsverarbeitung noch einmal überarbeitet werden?

Muster-ADV des BayLDA

Das ADV-Muster des BayLDA zur Auftragsverarbeitung kommt für viele Unternehmen, Vereine und Verbände genau zur richtigen Zeit und ist eine wertvolle Hilfestellung. Das Muster finden Sie hier.

Die Vereinbarung soll den Verantwortlichen eine Orientierung dafür geben, wie nach der DSGVO die Vereinbarung zur Auftragsverarbeitung abgefasst werden sollte und letztlich eine Formulierungshilfe darstellen.

In der vorliegenden Musterformulierung findet sich nun folgender Absatz in der Regelung zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO:

„(…) Für die auftragsgemäße Verarbeitung personenbezogener Daten wird folgende Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten berücksichtigt: (…).“

Damit kommt die Frage auf, ob eine Vereinbarung zur Auftragsverarbeitung auch die Methodik zur Risikobewertung regeln muss, um im Anschluss hieraus die technischen und organisatorischen Maßnahmen festlegen zu können.

Auftragsverarbeitung nach der DSGVO

Die Verarbeitung im Auftrag eines Verantwortlichen muss nach der DSGVO auch geeignete technische und organisatorische Maßnahmen bieten. Nach Art. 28 Abs. 3 Satz 2 lit. c) DSGVO ist in der Vereinbarung insbesondere eine Regelung zu den erforderlichen Maßnahmen gemäß Art. 32 DSGVO vorzusehen. Nach Art. 32 DSGVO ist sowohl der Verantwortliche als auch der Auftragsverarbeiter für die Sicherheit der Verarbeitung verantwortlich. Der Auftragsverarbeiter soll hierzu den Verantwortlichen unterstützen.

Das BayLDA hat in seinem Kurzpapier zur Auftragsverarbeitung nach der DSGVO ebenfalls ausgeführt:

„Für den notwendigen Inhalt des Vertrags gilt weitestgehend das Gleiche wie bisher. Ein wichtiger Bestandteil wird jedoch vor allem die Darstellung der erforderlichen Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DS-GVO. Gerade hier mangelt es häufig bei Datenschutzkontrollen“.

Auch das entsprechende Kurzpapier der Datenschutzkonferenz führt hierzu aus:

„Unter anderem muss der Vertrag außerdem vorsehen, dass der Auftragsverarbeiter die gemäß Art. 32 DS-GVO erforderlichen Maßnahmen ergreift“

Vorsatz für 2018: Mehr für den eigenen Datenschutz tun

Bis wir also auf Verbesserung beim Datenschutz warten, bleibt nur sich selbst zu schützen. Haben Sie schon Vorsätze für das neue Jahr?
Die allseits beliebten Neujahrsvorsätze „drei Mal die Woche Sport“ oder „gesünder Essen“ sind mit einer Umstellung von Gewohnheiten verbunden,
von denen wir uns allerdings einen positiven Effekt erhoffen („gesünder leben, Strandfigur 2019“). Ähnlichen Effekt haben wir
beim Datenschutz: nicht jede App unhinterfragt herunterladen, Datenschutzerklärung lesen, weniger Online Shoppen, über sichere
Dienste kommunizieren – all dies erfordert Aufwand, der jedoch hoffentlich schnell zur Gewohnheit wird. In diesem Sinne wünschen
wir Ihnen einen guten Start in das neue Datenschutzjahr!

Die Datenschutzgrundverordnung schreibt zahlreiche Maßnahmen vor, mit denen die Sicherheit der Verarbeitung personenbezogener Daten sichergestellt werden soll. Trotzdem kann es zu Datenschutzpannen kommen. Dies geschieht insbesondere dann, wenn die Vorgaben zur Sicherheit der Verarbeitung nicht umgesetzt wurden. Dieser Beitrag beschäftigt sich mit der Ausgestaltung eines Prozesses um schnell und effektiv auf Datenpannen reagieren zu können.

Was sind Datenpannen?

Nach Art. 4 Nr.12 DSGVO ist eine Datenpanne – das Gesetz spricht formal von einer Verletzung des Schutzes personenbezogener Daten – eine Verletzung der Sicherheit,

• die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung,
• oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten

führt.

Beispiele für Datenpannen sind: die Löschung durch eine nicht authorisierte Person, die Unmöglichkeit der Wiederherstellung eines Backups, das Abhandenkommen eines Schlüssels zur Entschlüsselung, ein Datendiebstahl (durch Hacking oder physisches Eindringen in eine geschützte Umgebung) , ein Befall durch Ransomware oder der Verlust eines mobilen, unverschlüsselten Datenträgers.

Vom Verantwortlichen fordert die Datenschutzgrundverordnung in Erwägungsgrund 87, dass er feststellen kann, ob eine Datenpanne aufgetreten ist und dass er die Aufsichtsbehörde und die betroffene Person umgehend darüber unterrichtet.

Ablauf bei Datenschutzpannen

Damit der Verantwortliche die Meldepflichten entsprechend der gesetzlichen Vorgaben zügig umsetzen kann, muss er sich auf den Eintritt von Datenpannen und die anschließende Reaktion vorbereiten. Gibt es keinen entsprechenden Reaktionsplan, dann können die gesetzlichen Vorgaben zur Meldung der Verletzung oft nur schlecht oder überhaupt nicht erfüllt werden. Dazu gehören auch klare Zuständigkeitsregelungen, damit nach einem Vorfall kein Stillstand aufgrund fehlender Verantwortlichkeiten eintritt.

Der Reaktionsplan sollte folgende Schritte enthalten:

• Schnelle Kenntniserlangung von Datenpannen
• Bewertung
• Maßnahmen zur Abwendung/Eindämmung
• Entscheidung ob eine Meldung erfolgen soll
• Meldung an die Aufsichtsbehörde oder den Betroffenen

Schnelle Kenntniserlangung

Der erste Schritt, die zügige Kenntniserlangung von Datenpannen und deren anschließende Weiterleitung an den Datenschutzbeauftragten, nimmt oft unnötig viel Zeit in Anspruch. Diese Zeit fehlt dann um den Vorfall fristgerecht an die Aufsichtsbehörde oder den Betroffenen zu melden. Wenn es sich beim Verantwortlichen um eine juristische Person handelt, dann kommt es bei der Kenntniserlangung auf die Mitarbeiter an, die nach der betrieblichen Organisation für die Verarbeitung der personenbezogenen Daten verantwortlich sind. Den Mitarbeitern sollte kommuniziert werden, dass die zügige Weiterleitung des Vorfalls an den Datenschutzbeauftragten besonders wichtig ist. Betroffene Mitarbeiter reagieren oft zaghaft, da sie Konsequenzen wegen eigenem Verschulden fürchten. Es muss deshalb kommuniziert werden, dass durch zügiges Handeln viel Schaden abgewendet werden kann und dass die Meldung des Vorfalls an den Datenschutzbeauftragten auch im Interesse des Mitarbeiters liegt.

Bewertung von Datenpannen

Wird der Vorfall zügig an den Datenschutzbeauftragten herangetragen, so kann dieser anschließend eine Bewertung der Datenpanne durchführen. Der Reaktionsplan sollte Leitlinien oder Kriterienkataloge enthalten, die eine zügige Bewertung und Risikoanalyse ermöglichen. Mögliche Kriterien zur Ermittlung des Risikos einer Datenschutzpanne sind u.a. die Kategorien der betroffenen Daten oder die Art der Verletzung.

Durchführung von Gegenmaßnahmen

Ein Reaktionsplan sollte für die verschiedenen Arten von Datenschutzpannen entsprechende Gegenmaßnahmen enthalten und deren Durchführung hinreichend beschreiben. Hierfür kann insbesondere auf die Erfahrung aus der Bewältigung vergangener Datenpannen zurückgegriffen werden.

Am 25.5.2016 ist die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten, ab dem 24. Mai 2018 ist sie anzuwenden.
Die DS-GVO gestaltet den Datenschutz in der EU grundlegend neu. Auch wenn häufig die Bußgelder als die Neuerung schlechthin genannt werden, ist das nicht zutreffend.
Die grundlegende Änderung ist die Einführung umfassender Dokumentations- und Organisationspflichten.
Was zulässig ist, bleibt nicht automatisch zulässig!
Die DS-GVO regelt weiterhin die Frage, wann eine Verarbeitung personenbezogener Daten zulässig ist. Es bleibt auch bei dem Grundsatz, dass die Verarbeitung unzulässig ist, es sei denn, es liegt eine Einwilligung der betroffenen Person vor oder eine gesetzliche Regelung gestattet die Verarbeitung.
Auf den zweiten Blick zeigt sich aber, dass sich die gesetzlichen Zulässigkeitsregelungen und auch die Anforderungen an eine Einwilligung geändert haben. Beachten Sie: Das bedeutet zwar nicht, dass alles zwingend unzulässig wird, aber was zulässig bleibt, weiß man erst nach der Prüfung.
Das deutsche Datenschutzrecht war bisher in erster Linie von gesetzlichen Regelungen geprägt, die über die Zulässigkeit und Unzulässigkeit der Verarbeitung entschieden. Daher wurde auch den Änderungen in diesen Bereichen durch die DS GVO zunächst und primär Beachtung geschenkt. Die eigentlichen grundlegenden Neuerungen liefen daher zunächst Gefahr, übersehen zu werden.

Beachten Sie: Auch wenn das dominierende Thema im Datenschutzrecht bisher die Zulässigkeit war, dürfen dadurch die neuen Anforderungen der DS-GVO in anderen Bereichen nicht übersehen werden.

Grundlegender – weil im BDSG bisher nicht vorgesehen – sind die neuen Anforderungen an Dokumentation und Organisation. Die DS-GVO folgt dem Ansatz „Datenschutz durch Dokumentation und Organisation“.

Ausrichtung des Datenschutzes auf Dokumentation und Organisation

Die DS-GVO misst der Dokumentation und Organisation des Datenschutzes im Unternehmen einen grundlegenden Stellenwert bei. Das Bußgeldrisiko der DS-GVO schlummert darin, diese Neuerung zu übersehen. Denn wird gegen die Pflichten zur Dokumentation und Organisation verstoßen, kann ein Bußgeld verhängt werden, auch wenn die Verarbeitung der personenbezogenen Daten zulässig ist.

Das sind die 4 wichtigsten Dokumentation- und Organisationspflichten der DS-GVO

• Die DS-GVO sieht eine Vielzahl von Dokumentations- und Organisationspflichten vor. Vier rücken dabei in den Vordergrund, weil sie grundsätzlich für alle Verarbeitungen zu beachten sind:
  Das Unternehmen muss durch Dokumentation nachweisen, dass es die Vorgaben der DS-GVO eingehalten hat. Art. 5 Abs. 2 DS-GVO nimmt mit dieser Rechenschaftspflicht die Grundsätze in Art. 5 Abs. 1 DS-GVO in Bezug.
• Durch dokumentierte Maßnahmen muss ebenfalls sichergestellt sein, dass der umfangreiche Katalog der betroffenen Rechte erfüllt werden kann (Art. 12 DS-GVO). Damit sind von dieser Organisationspflicht auch die proaktiven Auskunftspflichten nach Art. 13, 14 DS-GVO erfasst. Die DS-GVO zwingt damit den Verantwortlichen dazu sicherzustellen, dass die erforderlichen Informationen zusammengestellt und der betroffenen Person mitgeteilt werden können.
• Das Unternehmen muss durch nachweisbare Maßnahmen die Einhaltung des Datenschutzrechts sicherstellen (Art. 24 DS- GVO). Im Ergebnis wird damit eine Pflicht zur Organisation des Unternehmens geschaffen.
• Durch Art. 30 DS-GVO ist der Verantwortliche und in gewissem Umfang auch der Auftragsverarbeiter zum Führen eines Verzeichnisses über Verarbeitungstätigkeiten verpflichtet. Es gibt zwar eine Ausnahmeregelung. Diese wird in der Praxis aber kaum zum Tragen kommen.

Machen Sie sich das deutlich

Die DS-GVO will die Unternehmen dazu zwingen, sich mit der Datenverarbeitung auseinanderzusetzen. Das ist eine wesentliche Veränderung zum bisherigen BDSG und durch die DS-GVO sehr wohl gewollt. Das zeigt sich auch darin, dass allein schon der Verstoß gegen die vorgenannten Dokumentations- und Organisationspflichten zu Bußgeldern und zur Haftung führen kann, und nicht nur die rechtswidrige Verarbeitung.

Immer wieder gibt es Cyperangriffe durch sog. Ransomware. Der bisher größte Befall erfolgte im Mai 2017 durch das Schadprogramm „WannaCry“. Damals wurden über 230.000 Computer in 150 Ländern infiziert und jeweils Lösegeldzahlungen von den Betroffenen verlangt. Dieser Beitrag soll aufzeigen wie diese Schadprogramme in die Systeme gelangen und wie man sich dagegen schützen kann.

Was ist Ransomware?

Als Ransomware werden Schadprogramme bezeichnet, mit denen ein Eindringling den Zugriff eines Computerinhabers auf seine eigenen Daten einschränkt oder ganz verhindert. Dazu werden die Daten mithilfe des Schadprogramms verschlüsselt und für die Entschlüsselung oder Freigabe wird ein Lösegeld gefordert. Die Zahlung des Lösegelds erfolgt über anonyme Bezahlungsmethoden wie z.B. Bitcoins oder Paysafecards.

Wie gelangt das Schadprogramm in das System?

Ransomware gelangt meistens über die gleichen Wege wie ein Computervirus in das System. Häufig geschieht dies über das Öffnen von E-Mail-Anhängen. Dazu werden z.B. unter Verwendung echter Firmennamen und –Adressen E-Mails mit angeblichen Rechnungen oder Bestellbestätigungen verschickt. Im Anhang findet sich dann jedoch keine Rechnung, sondern ein sog. Downloader, der das Schadprogramm nachlädt. Dies bietet für Angreifer den Vorteil, die Schadsoftware immer auf dem aktuellsten Stand halten zu können und ihre Erkennung zu erschweren. Eine andere Möglichkeit wie Ransomware in Systeme gelangt, ist die Ausnutzung von Schwachstellen in Servern, die Nutzung ungeschützter Fernwartungszugänge oder die Nutzung von Sicherheitslücken in zahlreichen Programmen.

Nachdem die Software in das System gelangt ist werden die persönlichen Daten des Nutzers verschlüsselt. Dazu gehören: Emails, Fotos, Word-Dokumente etc. Dem Betroffenen wird anschließend eine Entschlüsselungssoftware angeboten, wofür er zuvor bezahlen muss. Die praktische Erfahrung zeigt, dass selbst bei einer Bezahlung des Lösegelds durch den Nutzer nicht sicher ist, ob die Daten anschließend wieder entschlüsselt werden. Daher rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Themenpapier zu „Ransomware“ ausdrücklich das Lösegeld nicht zu bezahlen und polizeiliche Strafanzeige zu erstatten.

Präventive Schutzmaßnahmen

Die präventiven Maßnahmen gegen einen Befall lassen sich in drei Kategorien einteilen.

• Verhinderung von Infektionen
• Sicheres Backupkonzept
• Sensibilisierung von Nutzern

Um Infektionen zu verhindern sind das Betriebssystem und andere Programme ständig auf den aktuellsten Stand zu halten. Besonders zu achten ist dabei auf Anwendungen, die mit Inhalten aus dem Internet geöffnet werden. Dazu gehören z.B. Browser und E-Mail-Programme. Außerdem sollte nicht benötigte Software deinstalliert und Browser-Plugins wie Java oder Flash – sofern nicht mehr benötigt – entfernt werden. Weiterhin sollte man beim Öffnen von E-Mail-Anhängen besonders vorsichtig sein. Da oftmals auch die Absenderadresse gefälscht ist, sollte man als Nutzer vor dem Öffnen eines Anhangs eine Plausibilitätsprüfung von Absender und Inhalt vornehmen. Eine weitere Handlungsempfehlung ist die ständige Aktualisierung des Virenschutzes und die Sicherung der Fernwartungszugänge.

Die wichtigste Schutzmaßnahme ist die Gewährleistung der Verfügbarkeit der Daten im Falle eines Befalls durch Ransomware. Dafür sollte jeder Nutzer über ein Datensicherungskonzept verfügen. Da viele Ransomware-Varianten auch Online-Backups verschlüsseln, sollten die Daten in regelmäßigen Abständen über ein Offline-Backup gesichert werden.

In größeren IT-Infrastrukturen stellt die Sensibilisierung von Nutzern eine weitere wichtige Maßnahme dar. Durch die Aufklärung der Nutzer über mögliche Infektionswege können diese ihre Verhaltensweisen entsprechend verändern.

Zuziehung von Experten

Betreuer größerer IT-Infrastrukturen sollten sich, wenn sie nicht über eigenes IT-Security-Fachpersonal verfügen, rechtzeitig um externe Unterstützung kümmern. Eine gute Prävention und Reaktion ist nur mithilfe von fachkundigem Personal möglich.